CVE-2023-28771 est une vulnérabilité de type injection de commande OS avec un score CVSS v3.1 critique de 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C). Cette gravité est due à la possibilité d’exploitation via le réseau, à la faible complexité de l’attaque et à l’absence de nécessité d’authentification. La vulnérabilité a été activement exploitée dans des environnements réels, raison pour laquelle elle a été ajoutée au catalogue des vulnérabilités exploitées connues de la CISA le 31 mai 2023. Les tentatives d’exploitation observées, y compris un pic concentré le 16 juin 2023, ont impliqué 244 adresses IP malveillantes uniques, avec des indicateurs cohérents avec des variantes du botnet Mirai. En particulier, cette vulnérabilité a été un vecteur critique dans une cyberattaque à grande échelle contre des infrastructures critiques danoises, attribuée à l’agence de renseignement militaire russe GRU, qui a ciblé 22 entreprises énergétiques et leurs systèmes de contrôle industriel (ICS).

Date	23/06/2025 17:09:46

Résumé technique

La vulnérabilité découle d’une « gestion inappropriée des messages d’erreur » au sein des décodeurs de paquets Internet Key Exchange (IKE) de Zyxel. Ce défaut permet à un attaquant non authentifié d’obtenir l’exécution de code à distance (RCE) en envoyant des paquets spécialement conçus vers le périphérique vulnérable. L’exploitation cible spécifiquement le décodeur de paquets IKE fonctionnant sur le port UDP 500. La nature pré-authentification et la possibilité de falsifier des adresses IP sur le port UDP 500 compliquent l’attribution et élargissent la surface d’attaque.

Les produits Zyxel concernés et les versions de firmware vulnérables associées incluent :

• série ATP : ZLD V4.60 à V5.35
• série USG FLEX : ZLD V4.60 à V5.35
• série VPN : ZLD V4.60 à V5.35
• série ZyWALL/USG : ZLD V4.60 à V4.73

Recommandations

Appliquer les correctifs immédiatement : mettre à jour tous les pare-feu Zyxel concernés vers les versions de firmware les plus récentes qui corrigent cette vulnérabilité.
Pour les séries ATP, USG FLEX et VPN : mettre à jour vers ZLD V5.36.
Pour la série ZyWALL/USG : mettre à jour vers ZLD V4.73 Patch 1.

Limiter l’exposition : appliquer des filtres réseau pour réduire l’exposition inutile du port UDP 500 sur les interfaces WAN, en garantissant que seuls les accès VPN légitimes sont exposés.
Limiter l’accès à distance à tous les périphériques réseau, en particulier les interfaces d’administration, en imposant une authentification forte telle que le MFA et le filtrage d’adresses IP (whitelisting).

Renforcer les contrôles : mettre en œuvre et faire respecter la segmentation du réseau pour les systèmes critiques, en particulier entre les réseaux IT et OT, afin de limiter les mouvements latéraux en cas de compromission.
Surveiller activement les activités post-exploitation, telles que les connexions sortantes inhabituelles ou les processus non autorisés, car une exploitation réussie peut conduire à l’enrôlement dans des botnets ou à d’autres compromissions.
Désactiver l’utilisation de périphériques déclarés en fin de vie (EOL) dans les environnements de production ou exposés à Internet s’ils ne peuvent pas être mis à jour.

[Callforaction-THREAT-Footer]